Mobiles Bezahlen: Sparkasse verschweigt Google-Analyse-Tool (Update)

Sparkasse Bezahlen Mobil App
Mobiles Bezahlen der Sparkasse

Mobiles Bezahlen, die Android-Bezahl-App der Sparkassen, beherbergt ein umfangreiches Google-Analyse-Tool, welches man den Nutzern verschweigt.

Die App „Mobiles Bezahlen“ der Sparkasse erlaubt es seit Kurzem, über ein Android-Smartphone mit einer digitalen Girocard oder Mastercard der Sparkasse im Handel zu bezahlen.

Letzte Woche erschien ein Update auf Version 2.6.19, welches ein Problem für Kunden der Berliner Sparkasse fixte. In diesem Zusammenhang wies uns ein Leser darauf hin, dass in der App ein nicht aufgeführtes Google-Analyse-Tool vorhanden ist, welches ein umfangreiches Reporting ermöglicht.

Allgemeines zu Google Analytics

Google Analytics ist ein gängiges Analyse-Tool im Web. Auch wir nutzen dies hier im Blog. Wir weisen darauf in unserer Datenschutzerklärung hin.

Unsere Implementierung des Webstatistikdienstes von Google verarbeitet keine IP-Adressen und akzeptiert zum Beispiel die „Do not track“-Einstellung des Browser, der Nutzer kann sich also einen manuellen Opt-out dafür sparen.

Worum geht es bei der App „Mobiles Bezahlen“?

Die Sparkasse beherbergt in ihrer Bezahl-App Google Analytics for Firebase. Das ist auch in der aktuellsten Version 2.6.19 der Fall, siehe Informationen bei „exodus“.

Das ist sozusagen eine Ausgabe von Google Analytics für App-Entwickler. Diese soll einen Einblick in die Nutzung von Apps und das Engagement der Nutzer bieten und ist kostenfrei für Entwickler. Dazu heißt es bei Google:

Analytics ist in alle Firebase Funktionen integriert und bietet Ihnen unbegrenztes Reporting für bis zu 500 verschiedene Ereignisse, die Sie mit dem Firebase SDK definieren können. Analyseberichte helfen Ihnen, das Verhalten Ihrer Benutzer klar zu verstehen, so dass Sie fundierte Entscheidungen bezüglich App-Marketing und Performance-Optimierung treffen können.

Die erwähnte Sparkassen-App setzt wohl Firebase Cloud Messaging, den Nachfolger von Google Cloud Messaging, ein und dieser Tracker wurde von Google in das neue Firebase Cloud Messaging aufgenommen.

Als Entwickler müsste man diesen Tracker aktiv abschalten, indem man in der Manifest-Datei einen Metadaten-Eintrag hinzufügt. Unklar ist, ob dies die Sparkassen-Entwickler versäumt haben.

Sämtliches Verhalten innerhalb der App „Mobiles Bezahlen“ bzw. deren Nutzung könnte durch Google Analytics for Firebase analysiert werden. Klar gesagt: Ob Google Analytics for Firebase Informationen sammelt und ob die Infos auch von der Sparkasse ausgewertet werden, kann man anhand dessen nicht sagen. Aber der Tracker ist eben in der App vorhanden und könnte aktiv sein.

Das Problem bei der Sparkasse

Nun kann man sich darüber streiten, wie „schlimm“ das ist. Ich persönlich denke, wenn der Nutzer in der Datenschutzerklärung klar und deutlich darüber aufgeklärt wird, wäre die Nutzung bzw. das Vorhandensein von Google Analytics for Firebase generell auch in einer App in Ordnung, zumindest dann, wenn die Erhebung der Daten anonymisiert stattfindet.

Es gibt aber auch Stimmen, die sagen: In einer Bezahl-App hat solch ein Analyse-Tool von Google nichts zu suchen. Auch diese Ansicht kann ich verstehen, denn eine Bezahl-App ist eben noch etwas anderes als eine Website.

Die Sparkasse weist die Nutzer leider gerade nicht in der Datenschutzerklärung der App (hier eine Kopie aus der aktuellen App-Version) darauf hin, dass dieses umfangreiche Google-Tracking-Tool in der App vorhanden ist. Der Umstand wird also einfach verschwiegen, vermutlich sogar aus Unwissenheit der Entwickler.

Was ihr mit dieser Information macht bzw. wie ihr diese Sache bewertet, ist am Ende natürlich euch überlassen. Ich fand es interessant und war dankbar für den Hinweis unseres Lesers, da ich ehrlich gesagt nicht damit gerechnet hätte und man auch bei der Nutzung der App davon nichts bemerkt.

Es sei auch nochmal ausdrücklich gesagt, dass ich kein App-Entwickler bin. Solltet ihr Feedback oder inhaltliche Verbesserungen haben, zögert also nicht, euch in den Kommentaren zu melden.

Auch zum Thema #Sparkasse

Update: Ich wurde auf weitere Banking-Apps, in denen Code solcher Tracker enthalten ist, hingewiesen. Der Vollständigkeit halber führe ich diese nachfolgend auf, habe die entsprechenden Datenschutzerklärung aber nicht geprüft.

Update 2: Nach dem Stöbern in der APK-Datei bzw. der AndroidManifest.xml der Sparkassen-App findet man leider nicht viel brauchbares. Einen Meta-Eintrag zum Deaktivieren von Google Analytics for Firebase jedenfalls nicht. Allerdings sind folgende zwei Einträge vorhanden (Info ohne Wertung):

  • com.google.android.gms.analytics.CampaignTrackingService
  • com.google.android.gms.analytics.CampaignTrackingReceiver

Ob man Google Analytics for Firebase überhaupt ganz aus der App rausbekommt, ist fraglich. Der Nutzer hat dabei leider keine Chance herauszufinden, ob es genutzt wird oder nicht. Hier sollte also wenigstens ein Hinweis in die Datenschutzerklärung, alleine schon aus Transparenzgründen.

Update 3: Die Sparkasse hat reagiert und wird das Google-Analyse-Tool entfernen.

Teilen

Hinterlasse deine Meinung
Du kannst auch als Gast kommentieren (Anleitung). DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an. Informationen zum Datenschutz auf mobiFlip.de findest du hier.